CN106576245A - 用户设备邻近请求认证 - Google Patents
用户设备邻近请求认证 Download PDFInfo
- Publication number
- CN106576245A CN106576245A CN201580027159.5A CN201580027159A CN106576245A CN 106576245 A CN106576245 A CN 106576245A CN 201580027159 A CN201580027159 A CN 201580027159A CN 106576245 A CN106576245 A CN 106576245A
- Authority
- CN
- China
- Prior art keywords
- request
- application server
- neighbouring
- adjacent service
- mapping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/023—Services making use of location information using mutual or relative location information between multiple location based services [LBS] targets or of distance thresholds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/029—Location-based management or tracking services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/005—Discovery of network devices, e.g. terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
通过响应于代表第一用户设备的第一邻近请求而从邻近服务功能向应用服务器传送映射请求来在蜂窝网络内处理邻近请求。然后响应于映射请求而从应用服务器向邻近服务功能传送映射响应。映射请求以及映射响应中的一个或二者包括允许第一邻近请求的认证的密码签名。
Description
技术领域
本发明提供以下中的任何单独的或组合:应用服务器;用于蜂窝网络的邻近(proximity)服务功能;以及用户设备。还提供了处理蜂窝网络内的邻近请求的方法。
背景技术
第三代合作伙伴计划(3GPP)已正在开发对蜂窝系统的增强以允许其用于公共安全通信的操作。这些开发的重要部分关注基于邻近的服务,其被称为ProSe。在该过程内已经商定数个文档,包括技术报告(TR)23.703和技术规范(TS)23.303。
TS 23.303 v. 12.0.0讨论了使得能够做出和履行邻近请求的功能性。这是在第一用户设备(UE)请求关于第二UE与它的邻近性的信息时。描述了数个不同场景,包括其中两个UE均属于不同公共陆地移动网络(PLMN)的情况。首先参照图1,示出具有用于提供该功能性的网络实体和接口的现有参考架构的示意图。
第一UE(UE A)10在第一PLMN(PLMN A)中。第二UE(UE B)60在第二PLMN(PLMN B)中。每一个UE操作ProSe应用,UE A 10操作Prose应用11并且UE B 60操作Prose应用61。UEA 10与UE B 60之间的接口被称为PC5(每一个接口由相应参考点定义)。PLMN A具有第一ProSe功能20并且PLMN B具有第二ProSe功能40,其中第一ProSe功能20与第二ProSe功能40之间的接口被称为PC6。在UE A 10在漫游的情况下,还存在UE A 10漫游在其中的PLMN(PLMN C)中的Prose功能与PLMN A中的第一ProSe功能20之间的PC7接口(未示出)。
第一ProSe功能20具有与第一归属订户服务器(HSS)的接口PC4a和与第一安全用户平面位置(SUPL)位置平台(SLP)25的接口PC4b。类似地,第二ProSe功能40具有与第二HSS的接口PC4a和与第二SLP 45的接口PC4b。第一ProSe功能20具有与第一ProSe应用服务器(AS)31的接口PC2,并且第二ProSe功能40具有与第二ProSe AS 32的接口PC2。PC2接口用于定义ProSe应用服务器32与3GPP EPS经由ProSe功能提供的ProSe功能性40之间的交互(例如名称翻译)以用于EPC级ProSe发现。第一ProSe功能20和第二ProSe功能40二者具有与UEA 10的接口PC3。
每一个UE具有应用层用户ID(ALUID),其将是在每一个UE处用于自身的标识符。UE还将使用它希望对其做出邻近请求的任何其它UE的ALUID。单独地,每一个UE具有相关联的演进分组核心(EPC)ProSe用户ID(EPUID),其唯一地标识向ProSe注册的UE并且由ProSe功能分配。应用服务器(诸如第一AS 31和第二AS 32)是在被提供有针对特定目标UE的ALUID时向ProSe功能公开该UE的EPUID的实体。这允许ProSe功能向管理该目标UE的另一Prose功能发送针对在特定时间段内目标UE的位置信息的请求。
参照图2,示出以已知方式实施的针对邻近请求传送的消息的示意图。这基于3GPPTS 23.303 v. 12.0.0的图5.5.5-1。在已经使用与如图1中所示的相同的特征的情况下,已经采用相同的附图标记。虽然图1示出两个应用服务器,但是该图示出单个应用服务器30,其将负责代表UE A 10管理邻近请求。
所发送的消息的完整描述可以在3GPP TS 23.303 v.12.0.0的章节5.5.5中找到。但是简要地提供以下概述。邻近请求消息1从UE A 10发送至ProSe功能A 20,其标识针对UEA 10的ALUID和针对UE B 60的ALUID。其还标识要使用的应用服务器30(使用应用ID字段)。映射请求消息2然后从ProSe功能20发送至应用服务器30,标识针对UE B 60的ALUID,并且应用服务器30发送映射响应消息3,具有针对UE B 60的EPUID。这然后可以由ProSe功能A20在第二邻近请求消息4中提供给ProSe功能B 40,所述第二邻近请求消息可以用于请求针对UE B 60的位置。
典型地,ProSe功能A 20将仅响应于来自UE A 10的真正邻近请求消息1而起作用。然而,当前不存在确保向ProSe功能B 40(通过PC6或PC7接口)发送针对目标UE B 60的邻近请求的发起PLMN A的ProSe功能A 20已经由发起PLMN A的UE A 10请求的机制。
邻近请求可以提供关于在做出请求的PLMN外的UE的位置信息。作为结果,它们提供强大的功能性并且防止它们的滥用是合期望的。但是,在不导致显著中断或向系统添加大复杂性的情况下实现这一点是一项挑战。
发明内容
针对该背景并且在第一方面中,提供了一种用于与蜂窝网络对接的应用服务器(AS),其包括:邻近服务功能接口,其被配置成从代表第一用户设备UE的第一邻近服务功能接收映射请求;以及安全逻辑,其被配置成认证映射请求,并且在映射请求被认证的情况下,向第一邻近服务功能传送映射响应。
AS因而充当用于检查映射请求是真正的认证系统。特别地,AS可以认证映射请求源自通过第一UE的邻近请求。对AS而言进行认证是有利的,因为其与做出邻近请求的ProSe功能直接通信并且因而将很有条件在不导致对系统的显著困难的情况下检查ProSe功能没有在滥用功能性。映射请求典型地用于提供针对第二UE(其将是邻近请求的目标)的第一标识符(诸如ALUID)。映射响应通常用于提供针对第二UE的第二标识符(诸如EPUID),第二标识符一般用于允许邻近请求继续进行。映射响应还可以标识与第二UE相关联的第二邻近服务功能(典型地第二UE的PLMN中的ProSe功能),其可以被称为PFID。典型地,每一个PLMN将具有至少一个相应ProSe功能。
用于邻近请求的现有技术中的风险在于来自UE的仅一个邻近请求将允许ProSe功能保持[ALUID_B, EPUID_B, PFID_B]映射(也就是说,针对目标、第二UE)的记录并且具有稍后发送邻近请求的能力(如在3GPP TS 23.303 v.12.0.0的章节5.5.5的邻近请求过程的步骤4中所描述的)。这可以是可能的,即使UE实际上并未发送邻近请求。这可以造成可能非常难以由服务特定ProSe UE的PLMN检测的通过其它PLMN对用户的显著追踪。AS处的映射请求的认证(或本文所描述的其它认证中的一个或其组合)可以帮助解决该问题。
因而所采取的方案作出数个假设。首先,要指出的是,并未给出位于不同PLMN中的ProSe功能将不出于追踪特定ALUID的目的而发布邻近请求的信任。与服务级协定一样,这样的信任可能难以建立。而且,我们不需要假定应用服务器将总是位于进行请求的ProSe功能的相同PLMN中。事实上,应用服务器可以在公共安全机构或消费者第三方服务提供商的控制之下。因此,其不必需要是移动网络运营商托管或拥有的服务。最后,如果应用服务器位于PLMN外,应当建立的是,负责特定EPUID的ProSe功能是否应当检查传入邻近请求是由特定UE真正请求的,而不是ProSe功能ALUID。尽管AS实施该检查,但是ProSe功能可以实施某种另外的检查,如本文将讨论的。
存在AS可以认证映射请求的各种方式。一个方案如下工作。AS还可以包括用户设备接口,其被配置成在接收映射请求之前与UE建立密码密钥(其可以包括以下中的一个或二者:签名密钥;以及验证密钥)。签名密钥可以存储在UE处并且验证密钥存储在AS处。然后,映射请求还可以包括来自UE的密码签名。安全逻辑可以被配置成通过使用所建立的密码密钥(通常为验证密钥)证实(validate)密码签名来认证映射请求。如果所建立的密码密钥可以用于证实与映射请求一起(作为其部分)发送的密码签名,映射请求可以被视为真正的。安全逻辑还可以被配置成与映射响应一起传送所建立的密码密钥的至少部分(诸如证书密钥)。
在第二方案(其可选地与第一方案组合)中,安全逻辑被配置成检查映射请求的可疑特性。例如,安全逻辑可以被配置成在以下中的一个或多个的基础上认证映射请求(也就是说,检查映射请求的可疑特性):从第一邻近服务功能接收的先前的映射请求(例如,在其数目、频率或内容中的一个或多个的方面);以及应用服务器处的UE的存在检测。后者可以使用AS与第一ProSe功能之间的接口,诸如PC2接口。
特别地在该第二方案中,安全逻辑还可以被配置成确定应当针对邻近服务功能授权至少一个操作。而且,安全逻辑可以被配置成发送这一点的指示连同映射响应。然后,安全逻辑还可以被配置成确定针对邻近服务功能的至少一个经授权的操作。在该情况下,安全逻辑可以被配置成发送至少一个经授权的操作的指示连同映射响应。
在第二方案中,安全逻辑有利地还被配置成使用所建立的密码密钥(其可以包括以下中的一个或二者:签名密钥;以及验证密钥)生成应用服务器密码签名并且传送应用服务器密码签名连同映射响应。所建立的密码密钥可以在AS处建立。然后,安全逻辑还可以被配置成与映射响应一起传送所建立的密码密钥的至少部分(诸如证书密钥)。
因此,第一方案使用在第一UE与AS之间建立的密码(加密)密钥并且第二方案使用在AS处建立的密码(加密)密钥。两个方案采用使用所建立的密码密钥作为令牌的密码签名以用于后续安全目的。方案还可以组合,如以上所指出的。无论使用哪个方案(或组合),邻近服务功能接口还可以被配置成从第二邻近服务功能接收密钥提取请求。邻近服务功能接口然后可以响应于所接收到的密钥提取请求而向第二邻近服务功能发送所建立的密码密钥的至少部分(诸如验证密钥)。
在第二方面中,提供了一种用于蜂窝网络的邻近服务功能,其包括:用户设备接口,其被配置成从第一用户设备UE接收第一邻近请求;应用服务器接口,其被配置成响应于所接收到的第一邻近请求而向应用服务器发送映射请求并且从应用服务器接收映射响应;以及邻近服务功能接口,其被配置成基于第一邻近请求和映射响应而向另一邻近服务功能发送第二邻近请求,第二邻近请求包括(或包含)基于第一邻近请求的密码签名以允许另一邻近服务功能认证第二邻近请求。
邻近服务功能因而可以被配置成与以下通信:第一UE(以便接收包括针对第二、目标UE的第一标识符的邻近请求);AS(以便将针对第二UE的第一标识符转换成针对第二UE的第二标识符);以及另一邻近服务功能(以便传递邻近请求并且从而接收针对第二UE的位置信息)。重要的是,与另一邻近服务功能的通信包括基于邻近请求的密码签名。这可以允许另一邻近服务功能以高效的方式认证邻近请求。
正如第一方面那样,存在用于获得密码签名的数个方案。在第一方案中,用户设备接口被配置成从第一UE接收UE密码签名。然后,应用服务器接口还可以被配置成向应用服务器发送UE密码签名。由邻近服务功能接口发送的第二邻近请求可以包括UE密码签名。在该方案中,用户设备接口还可以被配置成从用户设备接收密码密钥。然后,邻近服务器功能接口还可以被配置成向另一邻近服务功能发送密码密钥。
在第二方案(其可以与第一方案组合)中,应用服务器接口还可以被配置成从应用服务器接收应用服务器密码签名。然后,由邻近服务功能接口发送的第二邻近请求可以包括应用服务器密码签名。在该方案中,应用服务器接口还可以被配置成从应用服务器接收密码密钥。然后,邻近服务功能接口还可以被配置成向另一邻近服务功能发送密码密钥。
在第三方面(其可以与第二方面组合)中,提供了一种用于蜂窝网络的邻近服务功能,其包括:邻近服务功能接口,其被配置成从代表第一用户设备UE的另一邻近服务功能接收邻近请求,邻近请求包括密码签名;以及安全逻辑,其被配置成证实密码签名并且从而认证所接收到的邻近请求。因此,邻近服务功能可以被配置成使用所接收到的密码签名来认证来自另一邻近服务功能(其将典型地来自另一PLMN)的所接收到的邻近请求。这是在不导致对邻近请求过程的中断的情况下认证邻近请求的高效方式。
可选地,邻近请求标识与邻近请求相关联的应用服务器。然后,邻近服务功能还可以包括:应用服务器接口,其被配置成响应于所接收到的邻近请求而向所标识出的应用服务器发送密钥提取请求,并且优选地,作为响应从应用服务器接收密码密钥。然后,安全逻辑可以被配置成使用所接收到的密码密钥证实密码签名。
优选地,邻近服务功能接口还被配置成响应于安全逻辑认证所接收到的邻近请求而向另一邻近服务功能发送邻近请求确认。邻近请求确认可以包括针对第二UE的位置,第二UE在邻近请求中标识。
在第四方面中,提供了一种用于蜂窝网络的用户设备(UE),其包括:邻近服务功能接口,其被配置成向蜂窝网络的邻近服务功能发送邻近请求,邻近请求包括用于UE的密码签名。以此方式,邻近请求可以在蜂窝网络内被认证。这与在第一和第二方面内的认证中所采取的第一方案对应。
有益地,邻近请求标识与邻近请求相关联的应用服务器。然后,UE还可以包括:应用服务器接口,其被配置成在发送邻近请求之前与所标识的应用服务器建立密码密钥。密码密钥有利地用于计算密码签名。
还提供了第一、第二、第三和第四方面中的每一个的任何组合,特别地作为系统。第一、第二、第三和第四方面中的每一个可以包括硬件(诸如通信设备、数字逻辑、处理器系统)、固件、软件或其组合。第一、第二、第三和第四方面中的每一个可以以一般方式而被称为网络实体或网络实体的部分。
在第五方面中,提供了一种处理蜂窝网络内的邻近请求的方法,其包括:响应于代表第一用户设备UE的第一邻近请求而从邻近服务功能向应用服务器传送映射请求;以及响应于映射请求而从应用服务器向邻近服务功能传送映射响应。映射请求以及响应中的一个或二者包括密码签名以允许第一邻近请求的认证。因此,这可以描述在第一或第二方面的网络实体处发生的过程。
在优选实施例中,方法还包括:从第一用户设备向蜂窝网络的第一邻近服务功能传送第一邻近请求。从应用服务器接收映射响应的步骤优选地响应于应用服务器认证映射请求。
可选地,映射请求包括来自第一UE的密码签名。然后,传送映射请求的步骤可以包括从邻近服务功能向应用服务器传送密码签名。
此外或可替换地,映射响应可以包括来自应用服务器的密码签名。然后,传送映射响应的步骤可以包括从应用服务器向邻近服务功能传送密码签名。在实施例中,方法还可以包括:基于第一邻近请求和映射响应而从第一邻近服务功能向第二邻近服务功能传送第二邻近请求。
方法可选地还包括:在第一邻近请求的传送之前与应用服务器建立密码密钥,密码密钥用于计算密码签名。第一邻近请求可以标识应用服务器。
第二邻近请求可以包括:来自第一UE的密码签名;来自应用服务器的密码签名;或二者。
该方法可以可选地包括与本文针对第一、第二、第三和第四方面中的任何一个或多个所讨论的功能性对应的过程特征。在又一方面中,提供一种计算机程序,其被配置成在由处理器操作时执行本文所公开的任何方法。
还提供了任何结构、装置、系统或方法特征和方面的组合,即使未明确公开。
附图说明
本发明可以以各种方式付诸实践,现在将通过仅示例的方式并且参照附图来描述其中的数个方式,在附图中:
图1示出具有用于提供邻近请求功能性的网络实体和接口的现有参考架构的示意图;
图2示出使用图1中所示的架构以已知方式实施的针对邻近请求传送的消息的示意图;
图3示意性地图示了依照本发明的第一实施例实施的针对邻近请求传送的消息;以及
图4示意性地图示了依照本发明的第二实施例实施的针对邻近请求传送的消息。
具体实施方式
在详细讨论具体实施例之前,概述以下一般概念。首先,AS 30可以用于借助于映射请求来检查ProSe功能没有在滥用邻近请求过程。其次,密码签名可以使用在一个PLMN的ProSe功能与另一PLMN的ProSe功能之间的交换中以确认邻近请求过程未被滥用。这可以使用在UE处起源的密码签名(例如,具有与AS共享的密钥),使用在AS处起源的密码签名或二者来实现。可以在另一PLMN的ProSe功能处检查密码签名(或多个密码签名)以确认其由UE或AS起源。现在描述具体实施例。
现在参照图3,示出依照本发明的第一实施例实施的针对邻近请求传送的消息的示意性图示。在示出与在先前各图中相同的特征的情况下,已经使用相同的附图标记。
该方案使用经UE签名的邻近请求。UE A 10对通过PC3接口发送到其ProSe功能A的所有邻近请求进行签名。用于UE A 10的签名密钥可以由应用服务器30通过PC1接口提供。可替换地,UE A 10可以生成签名和验证密钥对,在其存储器中安全地存储签名密钥并且向应用服务器30输出验证密钥。
UE的验证密钥由应用服务器30通过PC2接口提供到ProSe功能B 40。ProSe功能B40通过用来自UE A 10的验证密钥来验证密码签名而确信通过PC6接口从ProSe功能A 20接收的邻近请求的真实性。
应当指出的是,ProSe应用服务器30可能在PMLN A和PLMN B中的一个或二者外。因此,参照图1,将第一AS 31和第二AS 32视为单个AS 30更加容易。然后,在每一个相应UE处维持PC1接口,并且维持从相同实体到每一个相应ProSe功能的每一个PC2接口。实际上,可以组合第一AS 31和第二AS 32。
现在将参照3GPP TS 23.303 v.12.0.0的条款5.5.5中的邻近请求过程来描述图3中所示的过程以支持请求的真实性。
在步骤100中,UE A 10和应用服务器30执行密钥建立“仪式”,其导致存储在UE A10中的签名密钥和应用服务器30中的验证密钥。通过PC1接口对UE A 10与应用服务器30之间的通信进行端到端保护。
在步骤101中,UE A 10向ProSe功能A 20发送作为邻近请求的部分的以下附加数据:EPUID_A, ALUID_A, ALUID_B和时间戳值的级联的密码散列(hash)的签名(UEA_signature)。这些应当因而被传输至应用服务器30和ProSe功能B 40使得二者可以用针对UE A 10的验证密钥来验证密码签名。时间戳值对应于UE A 10的系统时间。
接着之后为步骤102。ProSe功能A 20向应用服务器30发送作为映射请求消息的部分的以下附加数据:UEA_signature和由UE A提供的时间戳。
步骤103提供应用服务器30利用与ALUID_A相关联的验证密钥验证UEA_signature。如果验证失败,则返回错误消息。如果验证成功,则发送映射响应(如在常规技术中那样)并且应用服务器30可以可选地在映射响应中添加ALUID_A的验证密钥的相关联的证书。
然后在步骤104中,ProSe功能A 20向ProSe功能B 40发送作为邻近请求的部分的以下附加数据:UEA_signature、ALUID_A、ALUID_B和时间戳、应用ID以及可选地与ALUID_A相关联的证书。
可选地在步骤105中,如果与ALUID_A相关联的证书或验证密钥不是邻近请求的部分,则ProSe功能B 40向应用服务器30(可从其应用ID标识)发送针对与ALUID_A相关联的验证密钥的验证密钥提取请求。随后,在步骤106中,应用服务器30返回与ALUID_A相关联的验证密钥。
无论步骤105和106是否发生,如果UEA_signature的验证是成功的,则过程继续来自3GPP TS 23.303 v.12.0.0的条款5.5.5中的步骤5的过程(如以上所讨论的)。
因此,该方案提供通过用来自发起PMLN内的UE的验证密钥来验证密码签名(也就是说UE对邻近请求进行签名)来确保在发起ProSe功能处从另一ProSe功能接收到的邻近请求的真实性的手段。
现在参照图4,示出依照本发明的第二实施例实施的针对邻近请求而传送的消息的示意性图示。再次,在示出与在先前各图中的相同的特征的情况下,已经使用相同的附图标记。
该方案使用经应用服务器签名的邻近请求。在该方案中,UE A 10不对发送至其ProSe功能A 20的邻近请求进行签名,而是信任应用服务器30代表它控制所发送的邻近请求的授权。
AS 30因而确定ProSe功能A 20是否可以做出邻近请求及其程度。授权准则可以例如基于不与用户对ProSe应用的频率使用匹配的来自ProSe功能的传入邻近请求的超高量的检测机制,其可以基于通过PC1接口的存在检测机制,或者这些可能地与其它因素的组合。
ProSe功能A 20通过PC2接口从应用服务器30请求针对其应当传输的每一个邻近请求的授权。应用服务器30返回指定被授权的操作(例如被授权发送仅一个请求,被授权发送特定数目的请求直到特定日期为止或类似的)的参数。签名也由AS 30在映射响应中提供。ProSe功能B 40通过用来自应用服务器30的验证密钥来验证签名而确信从ProSe功能A20接收的邻近请求的真实性。通过ProSe功能B 40与应用服务器30之间的PC2接口提取令牌验证密钥。
现在将参照3GPP TS 23.303 v.12.0.0的条款5.5.5中的邻近请求过程来描述图4中所示的过程以支持请求的真实性。
步骤201与3GPP TS 23.303 v.12.0.0的条款5.5.5中的过程的步骤1相同并且步骤202与3GPP TS 23.303 v.12.0.0的条款5.5.5中的过程的步骤2相同。
在步骤203中,应用服务器30返回作为映射响应的部分的以下附加数据:经授权的操作(例如,被授权发送仅一个请求,被授权发送X个请求直到特定日期为止等);时间戳;ALUID_A, ALUID_B、经授权的操作和时间戳值的级联的密码散列的签名(AS_signature);以及可选地,应用服务器的验证密钥的相关联的证书CertKey_AS。
接着在步骤204中,ProSe功能A 20向ProSe功能B 40发送作为邻近请求的部分的以下附加数据:AS_signature;ALUID_A;ALUID_B;时间戳;经授权的操作;应用ID;以及可选地,证书CertKey_AS。
如果证书CertKey_AS不是邻近请求的部分或者如果证书CertKey_AS或验证密钥未被存储在内部存储器中,则在这之后可选地为步骤205。然后,ProSe功能B 40向应用服务器30(可从其应用ID标识)发送针对与应用ID相关联的验证密钥的验证密钥提取请求。在步骤206中,应用服务器30返回与应用ID相关联的验证密钥。
无论步骤205和206是否发生,如果AS_signature的验证是成功的,则过程从3GPPTS 23.303 v.12.0.0的条款5.5.5中的步骤5继续。
因此,ProSe应用服务器自身用于代表它控制所发送的邻近请求的授权。第二ProSe功能通过用来自ProSe应用服务器的验证密钥来验证签名而确信从第一ProSe功能接收的邻近请求的真实性。
尽管现在已经描述了具体实施例,但是本领域技术人员将理解到,各种修改和变型是可能的。事实上,两个实施例的组合是可能的。而且,在每一个实施例中描述的功能性的仅部分可能需要实现。例如,可以实现与AS 30相关联的功能性,即使与UE、ProSe功能或二者相关联的功能性不可用。
将理解的是,具体消息及其内容可以变化。例如,消息和密码签名不需要包括以上讨论的信息的全部的组合或散列。而是可以使用该信息的子集。此外或可替换地,可以使用其它信息。
还将理解的是,无论在哪里将实体(诸如邻近服务功能)描述为证实密码签名,该证实计算可以被卸载到外部实体,其可以是蜂窝网络的部分或在其外部。
本文所描述的实现方式应对当UE A 10(做出邻近请求)和UE B 60(邻近请求的目标或对象)二者在其归属PLMN中时的场景。然而,将认识到的是,如果任一者在漫游(因而在拜访PLMN中),该方案可以进行适配,特别地参照在3GPP TS 23.303 v.12.0.0中讨论的实现方式。
Claims (15)
1.一种用于与蜂窝网络对接的应用服务器,其包括:
邻近服务功能接口,其被配置成从代表第一用户设备UE的第一邻近服务功能接收映射请求;以及
安全逻辑,其被配置成认证映射请求,并且在映射请求被认证的情况下,向第一邻近服务功能传送映射响应。
2.根据权利要求1所述的应用服务器,还包括:
用户设备接口,其被配置成在接收映射请求之前与UE建立密码密钥;并且
其中所述映射请求还包括来自UE的密码签名,所述安全逻辑被配置成通过使用所建立的密码密钥证实密码签名来认证映射请求。
3.根据权利要求1或权利要求2所述的应用服务器,其中所述安全逻辑被配置成在以下中的一个或多个的基础上认证映射请求:从第一邻近服务功能接收的先前映射请求;以及应用服务器处的UE的存在检测。
4.根据任何前述权利要求所述的应用服务器,其中所述安全逻辑还被配置成使用所建立的密码密钥生成应用服务器密码签名并且传送应用服务器密码签名连同映射响应。
5.根据权利要求2或权利要求4所述的应用服务器,其中所述邻近服务功能接口还被配置成从第二邻近服务功能接收密钥提取请求,并且响应于所接收到的密钥提取请求而向第二邻近服务功能发送所建立的密码密钥的至少部分。
6.一种用于蜂窝网络的邻近服务功能,其包括:
用户设备接口,其被配置成从第一用户设备UE接收第一邻近请求;
应用服务器接口,其被配置成响应于所接收到的第一邻近请求而向应用服务器发送映射请求并且从应用服务器接收映射响应;以及
邻近服务功能接口,其被配置成基于第一邻近请求和映射响应而向另一邻近服务功能发送第二邻近请求,所述第二邻近请求包括基于第一邻近请求的密码签名以允许另一邻近服务功能认证第二邻近请求。
7.根据权利要求6所述的邻近服务功能,其中所述用户设备接口被配置成从第一UE接收UE密码签名,其中所述应用服务器接口还被配置成向应用服务器发送UE密码签名,并且其中由邻近服务功能接口发送的第二邻近请求包括UE密码签名。
8.根据权利要求6或权利要求7所述的邻近服务功能,其中所述应用服务器接口还被配置成从应用服务器接收应用服务器密码签名,并且其中由邻近服务功能接口发送的第二邻近请求包括应用服务器密码签名。
9.一种用于蜂窝网络的邻近服务功能,其包括:
邻近服务功能接口,其被配置成从代表第一用户设备UE的另一邻近服务功能接收邻近请求,所述邻近请求包括密码签名;以及
安全逻辑,其被配置成证实密码签名并且从而认证所接收到的邻近请求。
10.根据权利要求9所述的邻近服务功能,其中所述邻近请求标识与邻近请求相关联的应用服务器,所述邻近服务功能还包括:
应用服务器接口,其被配置成响应于所接收到的邻近请求而向所标识出的应用服务器发送密钥提取请求,并且作为响应,从应用服务器接收密码密钥;并且
其中所述安全逻辑被配置成使用所接收到的密码密钥证实密码签名。
11.一种用于蜂窝网络的用户设备UE,其包括:
邻近服务功能接口,其被配置成向蜂窝网络的邻近服务功能发送邻近请求,所述邻近请求包括针对UE的密码签名。
12.根据权利要求11所述的UE,其中所述邻近请求标识与邻近请求相关联的应用服务器,所述UE还包括:
应用服务器接口,其被配置成在发送邻近请求之前与所标识出的应用服务器建立密码密钥,所述密码密钥用于计算密码签名。
13.一种处理蜂窝网络内的邻近请求的方法,其包括:
响应于代表第一用户设备UE的第一邻近请求而从邻近服务功能向应用服务器传送映射请求;以及
响应于映射请求而从应用服务器向邻近服务功能传送映射响应;并且
其中映射请求以及映射响应中的一个或二者包括密码签名以允许第一邻近请求的认证。
14.根据权利要求13所述的方法,其中以下中的一个或二者:
所述映射请求包括来自第一UE的密码签名,并且传送映射请求的步骤包括从邻近服务功能向应用服务器传送密码签名;以及
所述映射响应包括来自应用服务器的密码签名,并且传送映射响应的步骤包括从应用服务器向邻近服务功能传送密码签名;并且
所述方法还包括:
基于第一邻近请求和映射响应而从第一邻近服务功能向第二邻近服务功能传送第二邻近请求;所述第二邻近请求包括以下中的一个或二者:来自第一UE的密码签名;以及来自应用服务器的密码签名。
15.一种计算机程序,其被配置成当由处理器操作时实施权利要求13或权利要求14的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB1405212.0A GB2524497A (en) | 2014-03-24 | 2014-03-24 | User equipment proximity requests |
| GB1405212.0 | 2014-03-24 | ||
| PCT/EP2015/056300 WO2015144728A1 (en) | 2014-03-24 | 2015-03-24 | User equipment proximity requests authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106576245A true CN106576245A (zh) | 2017-04-19 |
| CN106576245B CN106576245B (zh) | 2021-02-09 |
Family
ID=50686783
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580027159.5A Active CN106576245B (zh) | 2014-03-24 | 2015-03-24 | 用户设备邻近请求认证 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20170105119A1 (zh) |
| EP (1) | EP3123758B1 (zh) |
| CN (1) | CN106576245B (zh) |
| GB (1) | GB2524497A (zh) |
| WO (1) | WO2015144728A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10314085B2 (en) * | 2014-05-16 | 2019-06-04 | Huawei Technologies Co., Ltd. | ProSe information transmission method, terminal, and communications device |
| CN111373782B (zh) | 2017-11-15 | 2023-08-25 | 诺基亚技术有限公司 | 针对直接发现的申请的授权 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006127388A2 (en) * | 2005-05-25 | 2006-11-30 | Yahoo! Inc. | Mapping method and system |
| WO2013165695A1 (en) * | 2012-04-30 | 2013-11-07 | Alcatel Lucent | Secure communications for computing devices utilizing proximity services |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2002220182A1 (en) * | 2000-10-20 | 2002-05-21 | Wave Systems Corporation | System and method for managing trust between clients and servers |
| US6931429B2 (en) * | 2001-04-27 | 2005-08-16 | Left Gate Holdings, Inc. | Adaptable wireless proximity networking |
| KR100468031B1 (ko) * | 2002-03-29 | 2005-01-24 | (주) 시큐컴 | 자기앞 전자수표 발행 및 결제방법 |
| GB2403108A (en) * | 2003-06-20 | 2004-12-22 | Sharp Kk | Remote access via a holding area |
| US20060288220A1 (en) * | 2005-05-02 | 2006-12-21 | Whitehat Security, Inc. | In-line website securing system with HTML processor and link verification |
| KR100667820B1 (ko) * | 2005-09-30 | 2007-01-12 | 삼성전자주식회사 | 보안 방법 및 시스템, 그 방법을 기록한 컴퓨터 판독가능한 기록매체 |
| JP2008141581A (ja) * | 2006-12-04 | 2008-06-19 | Fujitsu Ltd | 秘密情報アクセス認証システム及びその方法 |
| US20090106437A1 (en) * | 2007-10-22 | 2009-04-23 | Nokia Corporation | Method and device for handling different addressing schemes in session initiation protocol communication |
| US9232391B2 (en) * | 2012-05-07 | 2016-01-05 | Industrial Technology Research Institute | Authentication system for device-to-device communication and authentication method therefor |
| JP6016456B2 (ja) * | 2012-05-30 | 2016-10-26 | クラリオン株式会社 | 認証装置、認証プログラム |
| EP2878161B1 (en) * | 2012-07-27 | 2019-08-21 | Telefonaktiebolaget LM Ericsson (publ) | Enhancing positioning in multi-plmn deployments |
| CN104012035B (zh) * | 2012-12-13 | 2017-02-01 | 华为技术有限公司 | 近距离服务的认证与授权的方法及设备 |
| US8997232B2 (en) * | 2013-04-22 | 2015-03-31 | Imperva, Inc. | Iterative automatic generation of attribute values for rules of a web application layer attack detector |
-
2014
- 2014-03-24 GB GB1405212.0A patent/GB2524497A/en not_active Withdrawn
-
2015
- 2015-03-24 EP EP15741808.8A patent/EP3123758B1/en active Active
- 2015-03-24 US US15/128,084 patent/US20170105119A1/en not_active Abandoned
- 2015-03-24 WO PCT/EP2015/056300 patent/WO2015144728A1/en active Application Filing
- 2015-03-24 CN CN201580027159.5A patent/CN106576245B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006127388A2 (en) * | 2005-05-25 | 2006-11-30 | Yahoo! Inc. | Mapping method and system |
| WO2013165695A1 (en) * | 2012-04-30 | 2013-11-07 | Alcatel Lucent | Secure communications for computing devices utilizing proximity services |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP: "3GPP TR 23.703 V2.0.0", 《3RD GENERATION PARTNERSHIP PROJECT;》 * |
| 3GPP: "3GPP TR 33.833 V0.4.0", 《3RD GENERATION PARTNERSHIP PROJECT;》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106576245B (zh) | 2021-02-09 |
| EP3123758A1 (en) | 2017-02-01 |
| GB2524497A (en) | 2015-09-30 |
| GB201405212D0 (en) | 2014-05-07 |
| EP3123758B1 (en) | 2020-02-12 |
| US20170105119A1 (en) | 2017-04-13 |
| WO2015144728A1 (en) | 2015-10-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101032142B (zh) | 通过接入网单一登录访问服务网络的装置和方法 | |
| US20140245417A1 (en) | Centralized secure management method of third-party application, system and corresponding communication system | |
| CN104145465B (zh) | 机器类型通信中基于群组的自举的方法和装置 | |
| CN113055363B (zh) | 一种基于区块链信任机制的标识解析系统实现方法 | |
| CN108512862A (zh) | 基于无证书标识认证技术的物联网终端安全认证管控平台 | |
| CN102045340B (zh) | 电动汽车与充换电站的安全数据交换方法及系统 | |
| CN105357186B (zh) | 一种基于带外验证和增强otp机制的二次认证方法 | |
| DK2924944T3 (en) | Presence authentication | |
| WO2017185450A1 (zh) | 终端的认证方法及系统 | |
| CN104283886A (zh) | 一种基于智能终端本地认证的web安全访问的实现方法 | |
| CN103220673B (zh) | Wlan用户认证方法、认证服务器及用户设备 | |
| CN110278084B (zh) | eID建立方法、相关设备及系统 | |
| CN106161348A (zh) | 一种单点登录的方法、系统以及终端 | |
| CN108683690A (zh) | 鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质 | |
| CN112437068B (zh) | 认证及密钥协商方法、装置和系统 | |
| CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
| CN101610515A (zh) | 一种基于wapi的认证系统及方法 | |
| CN110929231A (zh) | 数字资产的授权方法、装置和服务器 | |
| CN100499453C (zh) | 一种客户端认证的方法 | |
| KR101308498B1 (ko) | 무선 센서 네트워크를 위한 암호 및 스마트카드 기반의 사용자 인증방법. | |
| CN106576245A (zh) | 用户设备邻近请求认证 | |
| CN117278988A (zh) | 一种5g高安全专网应用可信身份双重认证接入方法、网元和系统 | |
| CN106850555A (zh) | 一种微信公众账号的管理方法和装置 | |
| CN109460647A (zh) | 一种多设备安全登录的方法 | |
| CN110267264A (zh) | 一种未联网智能终端与用户移动终端绑定的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |